برنامج GhostRedirector الخبيث- يوجه حركة مرور جوجل نحو مواقع المقامرة غير القانونية

تحذر شركة الأمن السيبراني ESET من مخطط جديد يعتمد على البرامج الضارة تسميه GhostRedirector، والذي يختطف خوادم الإنترنت المستندة إلى Windows بشكل خفي لخداع Google في الترويج لمواقع المقامرة غير القانونية. وفقًا لمدونة الشركة، We Live Security، يقول الباحثون إنهم يعتقدون "بثقة متوسطة" أن المتسللين المتحالفين مع الصين مسؤولون عن التهديد الجديد، على الرغم من أن أهدافه تقع إلى حد كبير في البرازيل وبعض دول جنوب آسيا.

ويستنتجون الارتباط الجغرافي بناءً على حقيقة أن شهادة توقيع التعليمات البرمجية الصادرة لشركة صينية غير محددة الاسم قد استخدمت في الهجوم، ووجود سلاسل نصية صينية في أجزاء من التعليمات البرمجية.

إن استخدام تكتيكات "القبعة السوداء" للترويج لمواقع المقامرة غير المنظمة ومهاجمة المنافسين ليس بالأمر غير المألوف. هذا الصيف، وجد العديد من الشركات التابعة للمقامرة أنفسهم هدفًا لطلبات إزالة DMCA الاحتيالية ذات الأصل غير المعروف.

ومع ذلك، فإن ضحايا GhostRedirector هم شركات من خارج صناعة المقامرة. لم تجد ESET أي نمط معين لاختيار الأهداف. وفقًا للمدونة، "من المحتمل أن تكون هذه هجمات انتهازية، تستغل أكبر عدد ممكن من الخوادم الضعيفة، بدلاً من استهداف مجموعة معينة من الكيانات."

يبدو أن الهدف النهائي من البرامج الضارة هو إعادة توجيه برامج زحف Google التي تزور مواقع الويب المصابة بهدوء، مع ترك مظهرها دون تغيير للزوار البشريين. وهذا يعني أنه لم يكن هناك تأثير واضح على الفور من جانب الضحايا - وبالتالي لقب "Ghost" - ولكن عواقب محتملة طويلة الأجل على تحسين محركات البحث لمواقعهم إذا اكتشفت Google المخطط وفرضت عقوبة على الموقع بسببه.

كيف يعمل GhostRedirector، باختصار

يعتقد الباحثون أن نقطة الدخول الأولية للمتسللين كانت SQL injection.

SQL، أو "Structured Query Language"، هي لغة تستخدم للتفاعل مع أنواع عديدة من قواعد البيانات. يشير الحقن إلى إدخال أوامر SQL في سلاسل نصية قد يقبلها الخادم لأغراض أخرى.

يقدم كاريكاتير XKCD "مآثر أم" مثالًا كوميديًا على المفهوم. فيه، تتمكن الأم من حذف قاعدة بيانات المدرسة بتسمية طفلها "Robert'); DROP TABLE Students;–“.

والمقصود من ذلك هو أن إدارة المدرسة أدخلت هذه السلسلة حرفيًا في قاعدة بياناتها، حيث فسر الخادم كل شيء بعد علامة الاقتباس الفردية على أنه تعليمات لمحو قائمة الطلاب من النظام.

هنا، بدلاً من حذف قاعدة بيانات، استخدم المتسللون حقن SQL للحصول على موطئ قدم لإضافة برامج أخرى إلى النظام. وشمل ذلك Bad Potato، وهي قطعة من البرامج الضارة التي تسمح بإنشاء حسابات مسؤول جديدة.

أخيرًا، مع الوصول الكامل إلى النظام، قام المتسللون بتثبيت جهاز إعادة التوجيه السري. يتحقق هذا من هوية حركة المرور الواردة إلى موقع الويب، وعند تحديد برنامج زحف Google، فإنه يغذيه بنسخة مختلفة من الصفحة. ستتضمن الصفحة المزيفة روابط خلفية إلى موقع المقامرة غير القانوني، وبالتالي تعزز مصداقيته في نظر Google، دون علم مالك الموقع.